In vielen Unternehmen gibt es eine Vorlage welche Informationen in der Abwesenheitsnotiz stehen sollen, in anderen Unternehmen ist es jedem Mitarbeiter selbst überlassen, welcher Text verwendet wird. Meist liest man aber sehr ähnliche Texte nach dem Muster:
„Sehr geehrte Damen und Herren,
ich befinde mich vom xx.xx.xxxx bis zum yy.yy.yyyy nicht im Büro. Bei dringenden Fragen wenden Sie sich bitte an meine Kollegin Frau Musterfrau (E-Mail: musterfrau@gmbh.de; Telefon: 01234/56789)
Mit freundlichen Grüßen
Ich“
Warum sollte ich eine Abwesenheitsnotiz bei all den offensichtlichen Vorteilen nicht einrichten?
- Solche Notizen sind für potentielle Angreifer ein gefundenes Fressen, bieten sie doch Informationen, die sich für kriminelle Handlungen verwenden lassen. Neben den offensichtlichen Infos (Dauer der Abwesenheit, Vertretung inkl. der Kontaktdaten), zeigt eine solche automatische Antwort auch, dass die Adresse tatsächlich vergeben ist. Ein Spammer wird diese Adresse sicherlich in seine Adressliste für spätere Phishing-Läufe aufnehmen oder aber auch verkaufen.
- Auch Social Engineers freuen sich über die freizügige Herausgabe von Informationen, macht ihnen dies das Leben leichter. Zuallererst bekommen sie die direkten Daten eines Mitarbeiters ohne sich von der Zentrale weiterleiten lassen zu müssen, denn die Mitarbeiter dort geben direkte Durchwahlen oft nicht heraus. Zudem weiß ein Angreifer so genau, in welchem Zeitraum er einen Angriff bspw. in Form einer Spear-Phishing-Mail durchführen kann.
- Schlimmstenfalls hat man in der Abwesenheitsnotiz noch vermerkt wo man in Urlaub ist; das ist für einen Angriff natürlich umso hilfreicher, als dass man sich als Angreifer zusätzlich auf diese Information beziehen kann, um die Fake-Identität zu untermauern. Wer soll außer Familie, Freunden und Kollegen denn wissen, wo man in Urlaub ist.
Wie kann ich dann mich und mein Unternehmen schützen und die Risiken eines möglichen Angriffs minimieren?
4 Tipps zum sicheren Umgang mit Abwesenheitsnotizen in Unternehmen
- Kommuniziere ich nur mit meinen Kollegen innerhalb des Unternehmens ist die Einrichtung einer Abwesenheitsnotiz nach außen nicht notwendig. Eine interne Information kann vor allem bei größeren Unternehmen, in denen man nicht mehr jeden persönlich kennt, sinnvoll sein.
- Kommuniziere ich mit einigen wenigen Partnern oder Kunden außerhalb meines Unternehmens empfiehlt es sich, statt eine Abwesenheitsnotiz einzurichten, eine kurze Infomail mit den nötigen Informationen zu verschicken oder einen kurzen Anruf zu tätigen. Neben dem Minimieren des Risikos kann ich so auch noch meine Partner-/Kundenbeziehungen pflegen.
- Habe ich Kontakt zu vielen externen Partnern oder Kunden ist das Einrichten einer Abwesenheitsnotiz sicherlich trotz des Risikos sinnvoll und hilfreich. Ein Kompromiss könnte in diesem Fall sein, dass der Abwesenheitsassistent die Einstellung erhält eine Abwesenheitsnotiz nur an meine Kontakte zu schicken. Dies setzt allerdings ein gepflegtes Adressbuch voraus.
- Im Falle eines ungepflegten Adressbuches sollte die Abwesenheitsnotiz nur generelle Angaben enthalten, auf den bekannten Vertreter bzw. alternativ auf eine allgemeine Nummer verweisen. Beispiel:
Sehr geehrte E-Mail Sender:in,
vielen Dank für Ihre Nachricht. Ich befinde mich bis zum 24.01. nicht im Büro. Ihre Nachricht wird nicht weitergeleitet und erst nach meiner Rückkehr bearbeitet. Bei dringenden Fragen kontaktieren Sie bitte die Ihnen benannte Vertretung bzw. kontakt@it-seal.de
Mit freundlichen Grüßen
Max Mustermann
Damit ist das Risiko, dass Kriminelle zu leicht zu viele Informationen über die Abwesenheitsnotiz sammeln können zwar nicht komplett ausgeräumt, aber zumindest minimiert und der Schutz vor Social-Engineering-Angriffen noch aufrecht gehalten.
Es ist stets wichtig, auch bei Kleinigkeiten wie einer Abwesenheitsnotiz das Thema Security Awareness im Kopf zu behalten, um so das IT-Sicherheitsbewusstsein zu stärken.
Sie wollen Ihre Security Awareness weiter stärken und mehr hilfreiche Tipps und Best-Practices zum Thema Mitarbeitersensibilisierung erhalten? Dann melden Sie sich jetzt für unser Awareness Briefing an und erhalten Sie wöchentlich ein Briefing rund um das Thema Security Awareness!
